Archiv

Archiv

Blog.Telekom

André Hopp

3 Kommentare

Drei Euro für einen Latte Macchiato … oder eben für Deine Identität

Statt Zucker zum Kaffee gibt’s hier Infos und Tipps, denn immer wieder werden Identitäten und Zugangsdaten für verschiedene Plattformen im Internet angeboten. Teilweise zu Spottpreisen. Schützt euch davor. 

Eine digitale Identität ist in illegalen Börsen für den Preis eines Coffee-to-go zu haben - schützt sie besser!

Digitale Identitäten sind erschwinglich, da sie oft leider zu leicht zu bekommen sind.

Unter Identität verstehe ich hier vor allem die Kombination aus E-Mail-Adresse beziehungsweise Nutzername oder Alias und Passwort. Diese ermöglicht in der Regel Zugriff auf weitere Daten, wie realen Namen, Adresse, Geburtsdaten et cetera.

Beispiel gefällig? Erst im November vergangenen Jahres startete der Streaming Dienst von Disney. Nur wenige Stunden später kursierten bereits Angebote für Zugangsdaten im Internet. Das ist schon wirklich schnell und so kommen auch Fragen nach der Sicherheit bei meinem Team und mir auf. Denn unser Job ist es, Kunden vor Missbrauch aller Art zu schützen.

Die Preise für die Zugangsdaten zu Disney reichten laut dem Portal zdnet von 3 US-Dollar bis 11 US-Dollar. Kaum teurer als ein Coffee-to-go und somit verlockend erschwinglich.

Doch warum machen Hacker das überhaupt? Und wieso fällt ihnen das so leicht? Meiner persönlichen Erfahrung nach haben Hacker unterschiedliche Motive fremde Identitäten oder eben Zugangsdaten zu stehlen. Hier sind mal zwei davon:

Geld! Es geht immer ums Geld

Mit Zugangsdaten erhält ein Hacker (ich nutze hier mal die männliche Form) Zugriff auf verschiedenste Konten. In diesen Konten kann er sich nun Leistungen erschleichen, für die er selbst natürlich nicht bezahlt. So kann er beispielsweise Produkte bestellen oder – wie am Beispiel Disney – kostenpflichtige Videos schauen. 

Wenn der Hacker Glück hat, kann er mit den erbeuteten Zugangsdaten möglicherweise Zugriff auf weitere Daten erhalten, wie die Adresse oder das Geburtsdatum. Bei mir gehören solche Fälle zur Tagesordnung und es ist schon eher ein Massenphänomen statt ein Einzelfall. Bin ich erst einmal in einem fremden E-Mail-Konto drin, so bieten auch zusätzliche Sicherheits-Maßnahmen keinen Schutz. Der oft geforderte zweite Faktor ist dann kein Hindernis mehr,  wenn zum Beispiel ein Code per E-Mail zugestellt und abgefragt wird.

Oft nutzen die eigentlichen Hacker die geklauten Daten aber nicht selbst, sondern bieten sogenannte Combo-Listen im Internet zum Kauf an. Eine Combo-Liste ist eine Sammlung von Benutzername-Passwort-Kombinationen. Solch eine Liste erzielt sehr unterschiedliche Preise, denn wie in vielen anderen Bereichen ist auch hier die Qualität entscheidend. Faktoren wie die Nationalität der Person, deren Zugangsdaten erbeutet wurden, spielen ebenso eine Rolle wie die Frage, für welches Portal sie gültig sind. Ein Online-Banking-Zugang in Deutschland ist wesentlich teurer als eine Nutzername-Passwort-Kombination für eine Social-Media-Plattform in Asien. Leuchtet auch irgendwie ein.

Eine digitale Identität ist in illegalen Börsen für den Preis eines Coffee-to-go zu haben - schützt sie besser!

Auch Hacker schätzen Ruhm und gutes Feedback.

Euer Zuspruch tut uns gut

Kleiner Laptop, großes Ego - ein Phänomen, das häufig zu beobachten ist. Merke: Auch Hacker mögen „Follower“ und „Likes“. Ein Beitrag in einem Szene-Forum über einen erfolgreichen illegalen Zugriff auf eine große Plattform erfreut sich schnell großer Beliebtheit. Und so bekommt der Hacker seine ganz persönlichen „5-Minuten-Ruhm“, wenn man so will. Und das spornt an für weitere Hacks. Diesem Hype um persönliche Reputation ist auch geschuldet, dass geklaute Daten immer weiter verbreitet werden. Somit tauchen selbst sehr alte Zugangsdaten immer mal wieder auf und werden dann sogar regelmäßig als „brandneu“ beworben.

Schutz? Quite Easy!

In meinem Job als Fraud Manager sehen ich jeden Tag eine Vielzahl von möglichen Gründen für erfolgreiche Hacks. Du findest veraltete Programmen mit Schwachstellen, besonders gerne Windows ungepatcht. Du findest ungesicherte Datenbanken. Ja, du siehst sogar Fälle, wo die Nutzer beeinflusst oder gar gezielt manipuliert werden, etwa beim Phishing. Als Psychologe interessiert mich gerade dieser Aspekt natürlich sehr, aber darauf gehe ich ein anderes Mal genauer ein. 

Ich erlebe auch hier: oft steckt dahinter gar kein ausgeklügelter Plan, sondern ist schlicht unser aller menschliches Verhalten und der Trend zur Gewohnheit. Ein Stück Bequemlichkeit ist auch dabei. Wir alle nutzen gerne einfache Abkürzungen. Aber eine Vielzahl von Portalen wünscht sich von uns, dass wir uns vor dem Zutritt erst anmelden. Gerade wenn die Passwort-Regeln besonders irrwitzig sind, nutzen wir aus Gewohnheit ein bereits bekanntes Passwort. Gerät dieses „Lieblingspasswort“ irgendwann auf so eine Combo-Liste, von der ich bereits gesprochen habe, nimmt das Verhängnis seinen Lauf. Es öffnet nicht eine, sondern zu viele meiner Türen. Heutige Computer können solche Listen in Sekunden durchprobieren. Eintrag für Eintrag. Und dann steht unter Umständen nicht nur das Mailpostfach offen, sondern auch gleich der Social Media-Account. Deshalb sage ich: Gewohnheit steht der Sicherheit gerne mal im Weg.

Wir helfen, wo wir können

Es gilt also die eigene Identität zu schützen. Dazu zählen E-Mail-Postfach, Social Media-Account, Bankkonto und so weiter. Als jemand, der täglich hunderte Schadensfälle dieser Art sieht, empfehle ich für jede Identität und jeden Account ein eigenes Passwort zu wählen. Ich weiß, das ist so einfach wie müßig und nervt manchmal. Dazu kommt, dass mein Tipp nicht neu ist. Aber ich mache trotzdem an dieser Stelle Werbung dafür. Lasst euch doch von Tools dabei helfen. Ein Blick in einen beliebigen App-Store zeigt „Password Manager“, die zumindest mein Passwortleben deutlich vereinfacht haben. Zudem gibt’s gerne auch noch einen zweiten Tipp, wie ein gutes Passwort aussehen kann, welches ihr euch trotzdem gut merken könnt.

Nicht zuletzt schützt mein Team zusammen mit vielen Kolleginnen und Kollegen aus der DT Security automatisch alle unsere Kunden. Jeden Tag arbeiten wir daran, solche online gestellten Identitäten zu finden und helfen unseren betroffenen Kunden sofort. Und somit tragen wir zu etwas mehr Sicherheit im Netz bei.

Immer noch Passwort-Wirrwarr-Sorgen oder andere, brennende Fragen zum Thema? Dann schreibt gerne einen Kommentar unter diesen Beitrag – ich schaue, dass es zeitnah eine Antwort gibt. Und gerne berichte ich demnächst mal ganz allgemein – und im Speziellem bei der Telekom – zum Thema Passwörter. Und auf das schon angedeutete „Nutzerverhalten“ gehe ich dann gerne auch nochmal ein. 

03

Blog.Telekom

Andreas Kadelke

0 Kommentare

Deepfakes: „Vertrauen in Fakten nicht verlieren“

Wie gefährlich können manipulierte Videos für unsere Gesellschaft werden? Experten diskutierten darüber im letzten telegraphen_lunch.

FAQ